【摘要】数字时代,民法制度需要转型升级。数据权益是一种民事权益,但也具有特殊性,数据权益是一种综合性权益,应当引入权利束的理论加以分析。此外,还应当区分数据权益与数据产品。数据与有形财产不同,数据不具有排他性,应更注重利用。数字时代的合同法应注重许可协议,此外,用户协议常常与公民的切身利益相关,而且包含了很多不合理、不平等的条款,应注重对格式条款进行规范,从注重意思自治转向合同正义。数字时代人格权的客体、行使和保护方式也发生了重大变化,我国民法典将人格权独立成编,是数字化背景下人格权保护机制的重大完善。应积极协调财产权益与人格权益,从注重保护财产权益转向注重维护数字人格权益。数字时代的侵权法面临数据侵权、大规模微型侵权等挑战,应积极利用侵权责任法保护数据权益,从注重事后过错认定转变为注重事前风险预防,同时还要注重赔偿救济功能的多样化。
【关键字】数字时代;数据;财产权;合同;人格权;侵权责任法
我们已经进入数字时代,数字时代呈现出信息爆炸、万物互联和人际互通等特征,数字技术和平台应用的智能化发展改变了社会关系,同时也给民法制度带来了新挑战。2022年12月2日,中共中央、国务院在《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)中指出,要“以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,以数据产权、流通交易、收益分配、安全治理为重点,深入参与国际高标准数字规则制定,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度”,为数字时代民法的发展与完善提出了明确的要求。应当看到,在传统民法上,财产权所采取的“物必有体”“物债二分”和“物必排他”的基本规则,在面对数据权益的保护时,已经显得捉襟见肘。[1]我们需要改变研究范式,对新权益采取新模式进行思考。因此,本文拟从财产、合同、人格权、侵权责任等制度出发,对数字时代民法的发展与完善提出一点浅见。
一、数据确权:数据民法保护的基础
(一)《民法典》宣示了数据权益作为民事权益的属性
对数据权益的保护是多个法律部门的共同任务,但民法对数据权益的确权,是所有法律对其提供保护的前提和基础,也是数据交易开展的前提和基础。公法对于数据权益的保护以对违法行为的制裁为主,这种保护方法总是以权益侵害的事后救济形态出现。但是,对于权益侵害行为的制裁要以权益的确立为前提。换言之,数据权益只有在法律体系内得到确权,对其进行保障才具有正当性。而公法不能完成对数据权益的确权,数据权益的确权是由民法完成的。
《民法典》第127条对数据权益的保护做了宣示性的规定,宣告了数据权益本身就是一种民事权益类型。数据权益作为民事权益体系的重要组成部分,当然受到《民法典》关于权益保护规则的调整。《民法典》第127条虽然属于引致条款,为未来制定单行法保护数据提供了民事基本法层面的法律依据,但该条将数据置于“民事权利”一章中,也宣示了数据的民事权益属性。既然数据在性质上属于民事权益,那它当然应受到民法的保护。且《民法典》第126条规定:“民事主体享有法律规定的其他民事权利和利益。”该条在规定民事权益的范围时,采用了开放性的方式,其也可以涵盖数据的保护。因此,数据产品总体而言是一种财产,但其又具有特殊性,不宜简单地将之归于某一财产类型之中,[2]这也是《民法典》第127条作出单独规定的重要原因。
(二)数据确权对数据权益的保护具有基础性作用
虽然《民法典》宣示了数据权益作为民事权益的属性,但对数据权益的确认和保护仍然较为抽象、简单。根据《意见》的要求,要构建以数据产权、流通交易、收益分配、安全治理为重点的数据基础制度,其中,数据产权的确权是基础和前提。一方面,确权是权益保障的基础。[3]数据权益的确权为数据权益的救济和侵权行为的惩治提供了基础。[4]另一方面,确权是数据交易的前提和基础。按照法经济学的观点,产权需要获得确权之后,交易才能进行,明确的确权有利于降低交易成本、节约交易费用。例如,波斯纳就认为,“排他权的创设是资源有效率地适用的必要条件”。[5]在数据交易中,无论是转让还是担保,都必须以数据成为权益客体为前提。例如,在数据担保交易中,数据的财产权益性质使其具备了可供支配的交换价值,因而可以成为担保的客体,数据作为财产的可流通性则为担保权利的实现提供了可能,[6]进而担保权人才能够优先受偿。
严格地说,“数据产权”是一个经济学的概念,如何将该概念转化为民法语言和民法规则,是我们当前应当重点研究的话题。“数据产权”概念的提出,旨在要求确认数据财产的权益,其实也是要解决数据确权的问题。
第一,应当确认数据所涉及的不同权益。因为数据权益是一种综合性权益:其可能因为具备独创性而受到知识产权法,尤其是著作权法的保护;其可能因为以个人信息的集合形态展现,而需要受到个人信息保护规则的调整;在数据信息涉及自然人的隐私时,则需要受到隐私权规则的调整。尤其是数据权益中常常包含个人信息权益,其与个人信息具有不可分割性,[7]难以通过以所有权为基础的权利分离理论来解释,否则会割裂数据与个人信息之间的关联性。即便是企业数据,也可能构成商业秘密,受到私法规则的规范。[8]数据中包含了复杂的权益类型,各种权益呈现出一种网状结构,因而有必要借鉴“权利束”理论作为数据权益的一种分析框架,即数据权益是信息之上产生的多项集合的“权利束”,无法简单地将其看作某一类单一的权利。[9]
第二,必须根据不同类型的数据确认权益归属。《意见》提出:“根据数据来源和数据生成特征,分别界定数据生产、流通、使用过程中各参与方享有的合法权利。”数据分为公共数据、企业数据和个人数据,不同类型数据的权利属性不同,我们需根据数据的不同类型来确立各个权益主体的利益归属及其内涵机制。《意见》提出,要“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。这就是说,数据的权利主体不同,相关主体所享有的权益也应当有所区别。对个人数据而言,如果处理者未将个人信息匿名化,则应当注重保护数据中的个人信息;对企业数据而言,需要强化对数据处理者权益的保护,如果涉及个人信息,也需要同时加强对个人信息的保护;对公共数据而言,则应当强调数据的共享与开放,推进互联互通,打破“数据孤岛”。[10]
第三,必须确认数据在流通交易中的权属。就数据而言,其被利用通常不会减损其价值,反而可能因为利用而实现,甚至增加其价值。数据的价值正是体现在反复和广泛的利用上。数据利用频次越高、利用范围越广,数据资源的经济价值就发挥得越充分。在数字时代,对数据的利用、共享十分普遍,数据也主要是在利用中产生价值。数据的利用需要借助于“合同网”(contract network)运行。[11]相关主体在进行数据交易、共享时,必须借助于合同法规范,如果当事人违约,还需要依据合同法的规则认定其违约责任。因此,需要构建完善的面向数字时代的合同法,全面保障数据的流通交易。
第四,区分数据产品与数据权益。传统民法的物权法采取“物必有体”“物债二分”的范式,难以适用于数据保护。数据产品权益是将数据整体作为一种无形财产,如果其具有独创性,可以纳入著作权的保护范围;如果其具有商业价值,并且企业对其采取了保密措施,可以纳入商业秘密的保护范围;如果其具有新颖性、创造性和实用性,则可以纳入专利的保护范围。但如果不具备这些要件,也可以将其作为财产来加以保护。
具体而言,作为数据产品的财产具有如下三个重要特点。一是具有无形性。数据的客体具有无形性,不能用有形财产的保护规则对其进行保护。由于数据没有有形的物理形态,通常不存在排他性和恢复原状等问题,因此,传统的物权请求权、占有保护请求权等方法,难以适用于数据的保护。同时,数据可以共享,可以由多人共用,[12]因此,在数据遭受侵害的情形下,也难以通过排除妨害等方式对其进行保护。二是主体具有多样性。如前所述,数据的来源具有多样性,数据财产的主体包括企业、个人等,[13]由于公共数据更应当注重其开放和利用,因此公共数据不一定要明确其权利主体,应当由有关机关对其进行管理。对于涉及个人信息的数据,则应当注重对人格的保护。三是根据数据产品是否具有独创性,采取不同的保护方式。公共数据大都不具有独创性。企业数据的来源既包括企业自身产生的数据,也可能包括公共数据和个人信息,因此,企业数据的利用规则较为复杂。对于涉及个人信息且具有独创性的数据产品,则可能需要借助知识产权的保护规则予以保护。
二、数字合同:从控制权转移到利用
数据的价值与有形财产有所不同,数据不具有排他性,更注重的是利用。《意见》指出,要“完善和规范数据流通规则,构建促进使用和流通、场内场外相结合的交易制度体系,规范引导场外交易,培育壮大场内交易;有序发展数据跨境流通和交易,建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”,为数据时代合同法的发展提出了新要求。传统合同法以所有权的买卖为原型,合同往往是交易双方围绕着所有权与价金交易展开的谈判。为回应数字时代的交易形式,应首先注重许可协议,许可合同可能成为数字时代交易的基础性、典型性合同。[14]此外,以隐私政策为代表的用户协议开始兴起,这些用户协议常常与公民的切身利益相关,而且包含了很多不合理、不平等的条款。合同法应注重对格式条款进行规范,从注重意思自治转向注重合同正义。
(一)数据利用:从控制权转移到利用
数据的特征区别于传统财产。有观点提出数据是一种“新石油”,这一说法不太准确,因为石油仍然是有形财产,而数据具有石油所不具有的特性。其一,数据具有非消耗性。传统民法对石油等有形财产进行排他性保护,原因之一就在于石油是一种可消耗的产品。如果不对这类财产进行一定的排他性保护,就可能导致不必要的纷争。但数据具有不可消耗性,其在反复利用中产生价值,即越利用越有价值,这种共享与共同利用的特征,使数据形成了经济学上的非竞争性的特点。其二,数据具有可再生性。数据不像土地或石油,这类财产具有一定的有限性,而数据可以被无限生产,取之不竭,用之不尽。其三,数据具有易共享性。相比传统财产,数据利用不受物理空间的阻隔和限制,可以被多方主体轻易地分享与利用。其四,数据的形成往往与多方主体相关,例如医院的病历数据库数据,它既与患者相关,也与医生、医院、医疗设备相关,其数据的生产与整理是多方主体共同作用的结果。[15]
典型的数据财产交易方式已经不同于过去的实体财产交易,数据财产通常并不强调单一的控制权和所有权归属的移转。比如消费者从网上下载App,购买电子书、电影等虚拟物品时,企业所提供的协议常常不是转移这些虚拟产品的所有权,而是赋予用户在一定时期内的使用权,同时附加若干使用限制。购买使用权、许可权成了数字时代交易的主要形式。[16]
许可协议的兴起与软件行业的发展密切相关。20世纪六七十年代,美国司法部对IBM等行业巨头提起反垄断诉讼,认为IBM将硬件和软件捆绑销售是一种垄断行为。为了避免法律风险,IBM等企业将硬件和软件拆分销售,并逐渐促成了软件产品与软件许可协议的发展。[17]软件许可协议具有格式条款的特征,使得软件制造商可以大规模销售其产品,而不必与每个消费者单独谈判。[18]但与一般买卖或租赁的格式条款不同,软件许可协议一般并不转让其产品的所有权,而是对软件的用途进行多项限制。[19]此外,软件许可协议也具有个性化定价的特征,针对其使用的对象是大公司、小公司、图书馆还是普通用户,软件企业收取的费用不同,对其施加的限制也不同。
许可协议具有和传统合同法不同的特征。其一,许可协议中常常存在许可方与被许可方认知与谈判能力不等、信息不对称等问题。软件制造商或拥有者往往在许可协议中处于优势地位,其对许可协议往往较为了解,能够利用许可协议形成对自身谈判有利的条款;而被许可方由于时间、精力、专业等的限制,往往会出现不阅读或不理解的问题。[20]对于消费者而言,这种情形更为严重。相关研究表明,消费者购买相关软件时,常常误以为其购买的产品和有形财产一样,可以完全拥有、自由转让、和第三方分享,但事实并非如此。例如,苹果对于音频和视频内容的出售和出租规定,“将已购音乐的音频播放列表刻录至光盘,最多可收听7次”,“出租内容一次只能在一台设备上观看,必须在30天内播放,开播后必须在48小时之内播放完毕(停止、暂停或从头播放不延长该时段)”。[21]这些复杂的许可协议条款,往往超出了消费者的合理预期。
其二,许可协议对知识产权法律体系和下游交易的影响也和传统合同不同。在专利、著作权等知识产权体系中,存在权利用尽原则或首次出售原则(first sale principle),根据这一原则,当所有者出售其专利或著作权之后,购买者可以自由出售或处置该商品。例如,在书籍出售后,个人可以任意进行转让、处置甚至销毁。权利用尽原则使得潜在的购买者可以很方便地和出售者打交道,而不必担心出售者没有权利,或其购买的产品存在侵权风险等问题。[22]但在许可协议下,购买者仅仅获取了软件等数字产品的有限使用权,这使得潜在的购买者需要花费较高的信息成本,弄清到底谁是产品的所有权人。[23]在没有完全弄清许可协议的情形下,购买者即使完全善意,也很可能侵犯许可方的知识产权。[24]
(二)用户协议与格式条款规制
在数字时代,以互联网企业为代表的平台还普遍使用用户协议。在数据大规模自动化处理的情况下,数据处理者很难与每个人进行一对一谈判。为了降低交易费用,用户协议、隐私条款等被广泛使用。而用户在下载APP时不可能对条款提出修改和变更意见,只能概括地表示接受或不接受,但在这些格式条款中确实夹杂了很多不合理、不平等的内容。因此,合同法在数字时代遇到的一个重要问题,就是如何强化对格式条款的规制,这一问题比以往任何时候都显得重要。
从形式上看,用户协议又可以分为拆封协议(shrinkwraps agreement)、点击协议(clickwraps agreement)、浏览协议(browsewraps agreement)、安装协议(installwraps agreement)、注册协议(registration agreement)等不同模式。[25]首先出现的是上一部分提到的软件销售和许可协议背景下的拆封协议。这类合同一般不出现在软件的外部包装上,只有当顾客购买后,在安装软件的过程中才能看到其内容。而用户要顺利安装软件,就需要点击同意。[26]在拆封合同逐渐获得部分国家的认可后,网络平台开始发展出了更多的合同类型。其中,点击协议指的是,平台在用户浏览或使用前,需要点击同意平台的用户协议;[27]而浏览协议则不需要用户的点击同意,用户协议的内容一般在某个超链接的背后;[28]安装协议或注册协议则指的是,APP或网站在其用户协议中声明,只要用户安装APP或注册用户,即表明用户同意其协议内容。
用户协议与格式合同或定式合同(adhesive contract)存在某些类似问题。早在20世纪六七十年代,阿瑟·勒夫(Arthur Leff)教授就指出,格式合同“不是讨价还价或合作的过程”,其意思自治元素已经被大幅削弱,变成了一方附加给另一方的条款。他形象地将格式合同中的双方类比为苍蝇和苍蝇纸(fly and flypaper)的关系,格式合同起草者对用户的支配,类似苍蝇纸对苍蝇的捕获,用户很难反抗。[29]大卫·斯劳森(David Slawson)教授也认为,格式合同与传统合同有较大区别,法律需要对格式合同进行规制。[30]
但相比商业化背景下的格式合同,数字化时代的用户协议还具有若干特殊性,使其更需要法律的规制。首先,用户协议更缺乏显著性,用户更难进行协商与谈判。在线下的购房、租赁、办理手机卡等场景中,格式合同的相对方虽然也常常不仔细看格式合同,但至少能够大致了解格式合同的内容,并且有机会与格式合同的提供者讨价还价。在数字环境下,网络用户协议则常常很不显著。例如上文提到的浏览协议、注册协议,一般用户很难注意到它们;即使是具有弹窗形式的点击协议,用户也常常无心浏览。[31]至于谈判,用户则更少有机会和能力与网络企业讨价还价,用户协议大多是一种要么同意要么拒绝的二元机制,用户很少有机会能够对用户协议进行修改。
其次,用户协议中的很多权益属于微型权益,用户难以对此类权益进行有效的权衡与决策。例如对于用户在网络平台上所产生的内容(user-generated content),有的平台通过用户协议约定此类内容归平台所有,或者此类内容不得转移到第三方平台。相比用户购买的明码标价的产品或服务,此类权益的价值并不明显。个人信息的权益是另一个例子,《金融时报》曾经做过研究,指出“即使是非常详细的个人信息,普通人的数据零售价通常也不到1美元,而关于一个人的一般信息,如年龄、性别和位置,每人仅值0.0005美元”。[32]微型权益使用户更难注意到相关条款,或者更不愿意就这类问题进行决策,因为其决策的成本大于微型权益的收益。
最后,用户协议中有的条款并非财产或交易性权益,可能涉及公民的基本权益。例如,有的条款涉及法院的管辖,有的条款涉及社交账号的封禁。此类条款虽然可以在形式上视为用户与平台之间的约定,但由于它们会对公民的基本权益造成较大影响,所以应受到法律的严格规制。例如,公民的微信账号一旦被封禁,就会对个人生活产生重大影响。法律在面对此类条款时,应进行严格审查,并为公民提供合理的救济途径。
(三)从注重意思自治到注重合同正义
传统合同法强调意思自治,从价值形态上看,工商业社会尊重意思自治,目的在于激发主体的活力,进而创造社会财富。但是,在进入数字时代之后,许可协议、用户协议都对意思自治原则提出了挑战。如何在数字化时代重构合同机制,学界产生了不同的看法。我们认为,数字时代的合同法应当注重合同正义,但也不应过于激进,应注重维护合理网络协议的有效性。
一方面,一部分学者主张限制甚至否定网络协议的效力。例如,玛格丽特·雷丁(Margaret Radin)教授认为,数字时代的合同法已经“变样”(deformation),网络协议通过单方立法,形成了一系列的“不公平、欺骗性或不民主行为”,亟须国家权力的大力规制。她甚至主张,对于很多用户协议,应避免使用“合同”这一术语,因为此类用户协议已经远离了合同的基本特征。[33]
另一方面,一部分学者仍然坚持认可许可与用户协议的效力,并进行辩护。这些学者认为,网络协议除了可以减少成本,提升商业效率之外,还有若干可以对其进行支持原因。其一,虽然普通用户一般并不阅读网络协议,但用户中会有一些“知情少数”,这些群体能够有效监督网络协议。[34]其二,网络协议作为网站或产品的一部分,可以形成一个声誉市场。如果企业发布不合理的网络协议,引起消费者或市场的不满,最终会倒逼企业改善其协议。[35]其三,网络协议虽然对公民权益有影响,但消费者可能愿意放弃此类权益以换取免费服务或低价服务。允许市场对网络协议进行意思自治,最终有利于消费者的利益。[36]
综合双方的观点,网络协议对于意思自治的挑战毋庸置疑,应通过合同正义来改善网络用户协议。特别是当平台利用暗黑模式(dark patters)来“套路”用户,[37]或者利用算法等手段来支配消费者时,法律就应当对表面上的意思自治进行严格规制。面对数字化平台的专业与信息能力,一般网络用户很难有同等的谈判能力(bargain power)。[38]而且,即使平台对于信息的披露更为详细,给用户提供更多的交互界面,用户也未必能够阅读和理解许可协议、用户协议。此类信息披露中的信息过载(information overloaded)与决策过频问题,[39]已经为很多研究和实验所证实。但是,这些问题并不意味着应当完全抛弃网络协议。对于网络协议,应对一部分违反公民基本权利的内容进行规制。对于可以用市场化方式解决的问题,则可以参考伊恩·艾尔斯(Ian Ayres)和艾伦·施瓦茨(Alan Schwartz)两位教授提出的方案,要求企业着重披露与用户预期相悖的信息。[40]通过注重合同正义,可以避免数字时代的操控与支配,保护用户权益和促进网络协议的有效运行。[41]
三、人格权保护:从注重财产与交易到注重数字人格
在数字时代,网络科技、数据科技的频繁迭代和广泛应用,不仅影响了人格权的客体,而且对人格权的行使和保护方式、人格权与财产权的交互关系产生了深刻影响。我国民法典将人格权独立成编,在一定程度上就是要积极回应数字科技快速发展和广泛应用给人格权保护机制带来的挑战,以及强化对数字化背景下人格权的保护与人格尊严的维护。在数字时代,应积极协调财产权益与人格权益,注重从保护财产权益转向注重维护数字人格权益。
(一)数据权益:财产权与人格权的协调
在数据权益中,财产权益和个人信息权益的密切结合,之所以要用权利束来观察,就是因为在大量的数据中,数据权益和人格权益呈现了一种相互交融的状态,很难进行严格分离。[42]数据既包括非个人信息,也包括个人信息,但以个人信息为主。所谓大数据,实际上几乎都是以个人信息为内容经过加工处理而形成的。因此,数据和个人信息的关系是:数据是橘子的皮,个人信息是橘子的橘肉,二者形成了载体与表达形式之间的关系。
在数据权益中,个人信息主体的人格权益始终具有优先性。[43]即便个人信息主体允许数据处理者分析、加工、处理他的个人信息,也不等于信息主体完全放弃了他对个人信息的权益,同样也并不意味着信息主体对数据产品里面所包含的各类信息不再享有任何权益。相反,即便信息主体许可数据处理者处理其个人信息,形成了数据产品,此数据产品里的个人信息,以及因这些个人信息产生的各种权益,仍然应当受到保护。
因此,数据权益和个人信息的关系是,前者始终受制于后者。具体而言,二者的关系应按如下方式进行协调。首先,数据处理者对其数据权益的享有和行使,应当以尊重信息主体享有的信息权益为前提,即数据处理者的数据权益必须以合法处理个人信息为前提。其次,即使数据处理者经过信息主体的同意制成了数据产品,该数据产品也不能随意与他人共享,或允许他人处分。《民法典》对此专门作了规定,因为再次共享实际上是一种新的利用行为,必须再次取得信息主体的同意。最后,信息主体还具有撤回权、携带权、删除权等优先性权利。按照《个人信息保护法》第15条的规定,信息主体享有撤回同意权,即便先前信息主体同意处理者收集其个人信息,制作数据产品,但是在同意之后,这个信息主体仍然有权撤回他的同意。法律之所以赋予信息主体这一权利,是为了充分地尊重信息主体、强化对个人信息的保护。按照《个人信息保护法》第45条的规定,信息主体享有信息携带权。如果符合条件,即便其个人信息被制成了数据产品,信息主体要行使信息携带权的,数据的处理者也不能拒绝。按照《个人信息保护法》第47条的规定,信息主体享有删除权,当处理目的已实现、无法实现或者为实现处理目的不再必要,或者个人信息处理者停止提供产品或者服务,或者保存期限已届满,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除。
《意见》指出:“对承载个人信息的数据,推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据,规范对个人信息的处理活动,不得采取‘一揽子授权’、强制同意等方式过度收集个人信息,促进个人信息合理利用。”在数据处理中,要创新技术手段,推动个人信息匿名化处理,保障使用个人信息数据时的信息安全和个人隐私。目前,很多地方正在进行数据立法,需要注意处理好数据权益和个人信息权益之间的关系。在数据立法中,所谓保护数据权益,首先要确定各个信息权益主体所享有的各种个人信息权益,[44]然后对数据处理者的财产性权益进行保护。
(二)个人信息保护法不足以解决数据权益保护问题
从比较法来看,确实存在通过个人信息保护法来对数据权益提供保护的模式。例如,1970年,美国在征信领域制定了具有个人信息保护雏形的《公平信用报告法案》,德国黑森州制定了全球第一部个人数据保护法《黑森州数据保护法》。2018年,欧盟正式实施《通用数据保护条例》(General Data Protection Regulation, GDPR),美国加州颁布了《加州消费者隐私保护法》(The California Consumer Privacy Act of 2018)。此种模式确有一定的合理性,但也存在不足之处。
首先,数据权益是综合性的,但数据产品是无形财产,虽然其中可能涉及个人信息,但数据产品的权益从整体上应当归属数据处理者。数据权益是综合性的权利,很难将其归属于哪一种具体的权利类型,数据中既可能包含个人信息,也可能包含知识产权等。以“大众点评APP”为例,它包含了各种权益。作为整体,它是无形财产。而拆分来看,其中关于消费者的账户、地理位置的内容,属于消费者的个人信息;涉及的算法则属于商业秘密,归属于平台;关于餐饮店的介绍、经营信息、优惠券等则属于经营者;关于符号的设计等,如果具有独创性还涉及知识产权……由此,我们可以发现,数据权益是一个具有集合性特点的权益。在数据权益里,人格权益和财产权益交互,突破了传统民法中以有体物为客体而产生的排他性。但作为数据产品,法律对它的保护,显然超出了个人信息保护法的范围。
其次,数据权益的主体和形态具有多样性。对于公共数据来说,可能根本不涉及个人信息问题,甚至对于公共数据而言,确权都不是必需的,是不应当进行的。[45]因为一方面,要积极推动数据要素市场化配置改革,促进数据要素交易流通、开发应用,从而释放数据要素的潜力与价值,加快数字产业创新发展,就要让公共“数据多跑路”,让群众“少跑腿”。在这一背景下,应当更多地鼓励公共数据的流通,对其进行确权,将不利于甚至妨碍这些数据的流通。[46]将公共财产的保护规则适用于这些数据之上,将给数据流通带来不必要的阻碍。另一方面,公共数据也不需要进行交易,因此其并不需要进行确权。[47]此外,即使就企业数据来源而言,其既包括企业自身产生的各种数据(如搜集当地的气象信息形成数据出售给他人),也可能包括公共数据(如企业公开发布的各种通知等),还可能涉及个人信息,但对于不涉及个人信息的企业数据,不能援引个人信息保护法予以保护。
最后,还要看到,即使在数据涉及个人信息的场合,虽然个人信息应当受到优先保护,但是保护个人信息并不能完全解决数据处理者的权利问题。例如,当个人信息权利人通过合同等形式做出了许可,而信息处理者主要是在合同授权的范围内处理个人信息,此时应该对信息处理者的权利提供必要的保护。因此,个人信息保护法不能完全替代数据保护规则。
(三)数字时代更应注重维护数字人格权益
传统民法学将物权与债权作为研究重点,民法常常被认为是保护公民财产权与市场交易的法律。20世纪以来,人格权逐渐成为私法体系的重要组成部分,[48]在财产领域,雷丁教授提出了“人格物”的概念。她借助黑格尔的理论,认为财产的重要特征是人的意志在物上的实现,因此财产权保护应以人格实现为目标;同时,为了保障个人人格的发展,社会也会对财产权施加一些限制。[49]康奈尔大学的格雷戈里·亚历山大(Gregory Alexander)教授指出,财产保护的目的是实现人的发展,人们常常通过财产来界定自身的人格,应注重财产权保护中的社群价值。[50]布鲁斯·阿克曼(Bruce Ackerman)在财产权与宪法的交叉研究中指出,现代社会对财产权的保护应以公民的人格尊严为基础。[51]在合同领域,一系列研究也聚焦人格权益的重要性。例如,20世纪六七十年代兴起的关系型契约理论发现,社会中的大量合同并不是高度商业化与去人格化的;大量的民事甚至商事合同,都以人与人之间的人格信任为基础。因此,合同法不仅保护当事人之间的交易本身,也应当保护当事人之间的信任关系与人格尊严。[52]再如,一些强调选择与自治的合同法理论也指出,个体选择与意思自治的基础在于公民的人格尊严,即个体有能力为自身的自由意志负责。[53]
在数字时代,人格权应当得到更多的关注和重视。这是因为,数字化时代的财产与合同中可能涉及个人的人格权益。以财产为例,很多企业都从财产权的视角看待财产性利益,如在用户协议中规定用户账户归企业所有。但从用户的角度看,此类账户常常与人格权益不可分离。一旦企业封禁个人的社交、邮箱账户,用户受到的不仅是财产性损失,而且包括对个人人格尊严的侵害,甚至导致用户的“社会性死亡”。在上文提到的用户协议等合同关系中,公民的人格尊严价值也日益凸显。在平台企业与个人所形成的不平等关系中,个人的自由意志常常受到支配。近年来,域外民法学界兴起了一系列对“信息支配”(information manipulation)问题的研究,[54]其根源在于人们认识到,数字时代的个人意思自治能力受到严重威胁。数字时代更应注重个人人格权益的保护,打造值得用户信任的数字平台。
在数据问题上,其人格权益的特征更为显著。在近年来的数据法研究中,已经有越来越多的学者指出,大数据虽然具有财产属性,但并不完全等于“石油”,而是包含了很强的人格利益属性。在大陆法系,隐私与个人信息一直被列入人格权保护的范畴。[55]在英美法系,数据保护的人格权进路也具有持续的影响力。例如爱德华·布洛斯汀(Edward Bloustein)认为,侵犯数据隐私是“对人类尊严的打击,对人类人格的攻击”。[56]安妮塔·艾伦(Anita Allen)指出,对隐私与个人信息的保护,应被视为“不可随意放弃的权益”。[57]朱莉·科恩(Julie Cohen)则指出,大数据对于个人人格尊严造成了系统性的影响。[58]劳伦斯·舒尔茨(Lauren Scholz)指出,个人信息关乎人格,就“像手和腿一样,是一个人不可分割的一部分”。[59]数据行业的兴起,使数据企业、规制机构与个人形成了一种权力不平等的“处理关系”,亟须法律对其进行保护。[60]
四、侵权责任法的发展:从有形财产到数字权益保护
传统侵权责任法主要以有体物为保护对象。在农业与小工商社会,侵权大多损害确定、因果关系简单、侵权方与被侵权方关系相对清晰。进入数字时代后,侵权责任法所面临的情形发生了重大变化。首先,数据侵权成为亟须解决的民事难题,仅仅依靠反不正当竞争法难以对数据权益进行有效保护。其次,“大规模微型侵害”成为重要的侵权类型。这种“大规模微型侵害”是指,对个体而言,损害可能是微型的,但是它常常针对众多的信息主体,所以又是大规模的。[61]再次,网络平台的兴起也使侵权责任的界定变得更为复杂,平台具有媒介的特征,传统上可能被免除责任或适用避风港规则,[62]但随着平台组织与管理功能的增强,其履行合理安全保障的守门员责任也日益凸显。[63]最后,算法与人工智能的兴起使很多侵权认定变得复杂。[64]由于侵权责任法所要解决的问题发生重大变化,数字时代的侵权责任法应当在保护功能、内容、方法等多方面作出相应的改变。
(一)数据权益保护:从反不正当竞争法到侵权责任法
目前,我国对数据产品的侵权保护尚未形成共识,实务中主要通过《反不正当竞争法》对其提供相应的保护。无论理论界还是实务界,比较流行的观点认为,应当通过反不正当竞争法对数据权益进行保护,对于行为人抓取、使用他人数据的行为,应当适用《反不正当竞争法》第2条和第12条的规则进行调整。对于相关主体控制、持有的数据,其他主体具有不当抓取、使用等行为,妨害竞争秩序的,可依照《反不正当竞争法》第2条等规则予以处理。[65]在我国司法实践中,有些法院也通过反不正当竞争法的规则调整相关纠纷。例如,在被称为“全国首例大数据产品不正当竞争案”的“安徽美景信息科技有限公司与淘宝(中国)软件有限公司不正当竞争纠纷案”中。[66]法院认为:侵害数据产品应属于反不正当竞争法规制的范围。此种观点有一定道理,因为一方面,数据权益的侵害大多来自不正当竞争行为,相关行为本身具有违法性,通过反不正当竞争法可以有效制裁、遏制相关的行为;另一方面,从比较法上看,有些国家也采取了类似的立场,如《德国民法典》第823条第2款也规定了违反保护他人的法律的侵权责任问题;此外,从立法层面看,我国《反不正当竞争法》的规则已经十分完善,通过反不正当竞争法保护数据也是妥当的。
但简单运用反不正当竞争法难以保护数据权益,主要理由在于以下五点。
第一,反不正当竞争法主要是公法,数据虽然具有公共性,但完全以公法代替私法的保护是不妥当的。从比较法来看,在德国法中,反不正当竞争已经纳入侵权的范畴,其行为规范被认为是保护性法律和善良风俗在竞争领域的具体化。因此,反不正当竞争法的民事责任规范是对竞争者施加特殊行为要求的特别侵权责任法,侵权责任法与反不正当竞争法属于一般法和特别法的关系,反不正当竞争法中侵权规范会对一般侵权的构成、后果、责任形式等各个方面进行具体化、补充和严格化。[67]这一立法经验是值得借鉴的。
第二,反不正当竞争法主要规范特定的不正当竞争行为。[68]《反不正当竞争法》第12条第4项虽然设置了兜底条款,即“其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为”,但其只针对行为的违法性问题,并没有提出确权的问题,更没有确定权利的内容。通过该规则调整数据,虽然明确了抓取、利用他人数据行为的违法性,但并没有回答该行为究竟侵害了何种权利的问题,也不能代替民法侵权责任对受害人的保护。
第三,侵权责任不仅可以确认侵害权益的对象,而且可以明确侵权责任的构成要件,如过错、因果关系等,其在责任的确认方面更为精细和规范。通过侵权责任规则保护数据,也可以指引法官准确认定相关的责任。通过反不正当竞争法规则调整侵害数据的行为,可能仅能根据违法性认定相关的责任,而无法确认是否侵害了相关权利,是否有因果关系等,此种保护模式显然过于笼统,也会给法官过大的自由裁量权。例如,《反不正当竞争法》第2条第2款规定:“本法所称的不正当竞争行为,是指经营者在生产经营活动中,违反本法规定,扰乱市场竞争秩序,损害其他经营者或者消费者的合法权益的行为。”该条款非常原则、笼统,仅以该条来处理客体权益复杂、主体多样、侵权形态各异的数据侵权纠纷,确实过于简单化。
第四,数据权益本身具有综合性,需要对不同的权益主体的权益内容进行整体考量与利益平衡,而这需要以数据确权为前提。[69]反不正当竞争法显然没有作出此种利益冲突的考量,如在个人信息与数据权益发生冲突时,反不正当竞争法显然难以适用,如果适用该法调整此类关系,反而会使当事人之间的权利义务关系更加模糊,也更难以有效处理相关的纠纷。
第五,没有对数据权益的确权,难以形成有效的激励机制。反不正当竞争法虽然具有鼓励竞争的目的,但其侧重点并不在于对具体权益的保护。[70]通过确权的方式保护个人对数据财产权益的产生所做出的投入与贡献,从而不断激励创新,这可能更有意义。
从责任形式来看,我国《民法典》侵权责任编是以损害赔偿责任为中心构建的,但其也可以适用于对数据的保护,尤其是《个人信息保护法》已经对侵害个人信息的民事责任作出了规定,对侵害数据的行为也完全可以适用侵权责任法的规则。此外,针对数据侵权行为,停止侵害、赔礼道歉等侵权责任承担方式也是适用的。应当看到,《民法典》第127条在性质上是不完全法条,其主要是引致规范和宣示条款,但由于数据属于民事权益,因此,可以将该条规定与侵权责任编的过错责任条款等规则结合起来,形成完全法条,从而准确认定侵害数据的侵权责任。
(二)侵权责任法的功能:从事后过错认定到事前风险预防
过错认定是传统侵权责任法的核心。布莱克斯通早在18世纪就指出,侵权责任法就是过错法。[71]直至当代,有的学者仍然将判断过错视为侵权责任法的核心功能。例如,加拿大多伦多大学的两位教授亚瑟·里普斯坦(Arthur Ripstein)和欧内斯特·韦恩利布(Ernest Weinrib)认为,侵权责任法的核心功能是确定一方对另一方是否具有过错,应将不符合这一特征的法律救济排除在侵权责任法之外。[72]美国哈佛法学院的约翰·戈德堡(John Goldberg)和福特汉姆大学法学院的本杰明·齐普斯基(Benjamin Zipursky)认为,侵权责任法就是确认过错的法。[73]他们借助康德等古典自由主义哲学理论与分析哲学理论,对侵权责任法的功能进行了严格的限定。
但进入工业化特别是数字时代以来,侵权责任法的重心越来越注重预防侵害风险。随着社会大规模生产和风险社会的兴起,人们越来越多地面临着侵权链条复杂的产品风险和事故风险。面对这类侵权,在西方侵权责任法的研究中,事故法与过失法逐渐成了现代侵权责任法研究的重心。[74]在这类侵权中,侵权结果常常不是由一个主体的过错行为形成的,而是有多个链条的复杂活动。正如格雷戈里·基廷(Gregory Keating)教授所言,如果说传统侵权责任法关注的重心是“行为的世界(world of act)”,那么现代侵权责任法关注的重心则是“活动的世界(world of activities)”。[75]在数字时代,风险预防更为重要。由于网络技术的应用,一旦造成侵权损害的后果,就可能迅速蔓延和发酵,这种损害后果甚至是无法估量的。
从预防侵害风险出发,数字时代的侵权责任法应注重合理的责任分配,以形成合理威慑,避免或降低侵害风险。[76]例如,在个人信息与数据侵权中,数据的泄露常常既有数据处理者的安全保护漏洞,也有黑客等侵害者的责任;在算法侵权中,侵害常常由程序设计者、产品制造者、算法使用者的多方活动构成;在平台的各类侵权中,既存在平台内主体自身的责任,也涉及平台的安全保障等责任。侵权责任法研究应着重分析何种责任分配能够更有效地避免事故的发生,同时维持产业发展与社会的有效运转。
在侵权责任法的研究中,现代侵权责任法的权威学者圭多·卡拉布雷西(Guido Calabresi)较早提出了“最小成本预防者”(cheapest cost avoider)的概念,认为现代侵权责任法应当将责任分配给能够用最小成本防止事故发生的主体。[77]在数字法学的研究中,很多侵权责任法学者将这一理论应用在个人信息、算法、平台责任等问题上。例如,美国杜克大学的詹姆斯·格里梅尔曼(James Grimmelmann)教授认为,个人信息处理者就像水库的所有者,个人信息泄露就像水库泄洪,个人信息处理者是最能有效避免事故发生的主体;[78]美国纽约大学的凯瑟琳·沙基(Catherine Sharkey)教授认为,网络平台如能用较小成本即发现和阻碍其平台内商家的侵权,就应承担侵权责任。[79]德国洪堡大学的格哈特·瓦格纳(Gerhard Wagner)教授认为,普通用户使用人工智能产品发生侵权行为,软件设计者或产品制造者应承担相应的产品责任,因为他们更了解人工智能产品,更能有效避免侵权事故的发生。[80]
在我国与域外的数字法治的司法实践中,法院也经常采取此类进路。例如,在庞某与北京趣拿信息技术有限公司等隐私权纠纷案中,庞某在趣拿公司下辖网站“去哪儿网”购买东航机票,其后收到诈骗短信。此案的二审法院适用举证责任倒置规则,引入了高度可能性的证明标准,认定趣拿公司应承担责任。[81]在这一案件中,二审法院实际上引入了风险预防的理念,让最可能导致风险发生的企业承担责任。在国外,法院也在一些案例中引入了概率理论、市场份额理论等来解决复杂侵权问题。其核心理念是,在过错难以确定的复杂侵权中,应让最能有效预防风险的主体承担责任。[82]
(三)赔偿救济功能的多样化:从补偿到治理
在传统侵权责任法中,对个体的救济主要是补偿个体遭受的损害。但在数字时代,大规模微型侵权成为重要的侵权类型,严格遵循损害赔偿的补偿原则可能面临严峻的挑战。被侵权方常常是多个或海量个体,而且其损害常常具有微型、不确定的特征。在此类侵权中,如果侵权责任法救济以个体补偿为原则,就会面临种种问题。不但个体遭到的侵害难以获得有效救济,而且难以实现对大规模群体的有效救济与保护。
其一,是否存在损害常常难以认定。在大规模微型侵权中,损害可以做宽泛界定,也可以做严格限定,仅限于具有实质性的具体损害。在司法实践中,各国对于损害的认定存在较大争议。例如,美国联邦最高法院认为个人信息泄露产生了具体损害,但并不存在侵权责任法上可以救济的损害。[83]其二,即使认定大规模微型侵权的损害,损害赔偿的具体数额也常常难以确定。例如,个人信息泄露造成的损害可能因人而异,因不同情形而异。其三,个体的补偿性主张也难以实现。在大规模微型侵权中,大量侵害都存在潜在的风险。
为应对上述难题,侵权责任法应注重不同救济方式和救济功能,以实现大规模微型侵权的有效治理。首先,应适用补偿之外的其他救济方式。我国《民法典》第179条规定,承担民事责任的方式包括停止侵害、排除妨碍、消除危险等多种方式,应在大规模微型侵权中采纳这些方式。此类救济方式不仅有利于对个体进行救济,防止损害与风险进一步扩大,而且有利于保护更广泛的群体,实现大规模微型侵权的有效治理。以个人信息侵权为例,很多国家和地区的法律都把停止侵害、排除妨碍、消除危险作为免予被提起个人信息之诉的条件。例如,《加州消费者隐私法案》规定,如果企业在接到消费者投诉的“30天内实际补救了所发现的违规行为,并向消费者提供了一份明确的书面声明,说明违规行为已得到补救,不再发生违规行为,那就不得对企业提起个人或集体的法定损害赔偿诉讼”。[84]
其次,侵权救济可以根据不同的损害情况,采取不同的损害赔偿计算方式。[85]在损害较为明确而且损害数额较大的情形中,损害赔偿的数额可以按照实际损失确定。在此类案件中,由于赔偿数额较大,按此方案既可以对受害者进行补偿,也可以对相关主体产生足够威慑。但在损害数额不明确或微型侵权的情形中,则可以采取获利返还的规则确定数额或设定法定赔偿额。我国《民法典》第1182条规定,赔偿数额可以按被侵权人“受到的损失或者侵权人因此获得的利益”计算,或者“根据实际情况确定赔偿数额”,《个人信息保护法》第69条作出了类似规定,也不再局限于以个体补偿作为损害赔偿的标准。域外有的法律则直接设定法定赔偿额,例如《加州消费者隐私法案》规定,企业因违规而导致泄漏、盗窃或披露的,可以主张100美元到750美元的损害赔偿金或实际损害赔偿金。[86]
最后,侵权救济应注重和行政规制等法律的配合协调。[87]大规模微型侵权与风险社会的兴起,带来了一系列风险规制性法律的兴起,从环境污染、食品安全到个人信息保护、平台责任与网络安全,这类领域法往往需要公法与私法的密切配合。[88]相比侵权责任法制度,公法规制有一些自身优势,例如,行政机关常常配备有专业人员,并且可以直接对社会群体进行事前预防。[89]但是,侵权责任法也有自身独特的优势。侵权责任法作为一种事后救济方式,可以为产业发展提供合理空间,避免行政机关恣意武断的事前禁止;侵权责任法通过原告与被告的控辩,可以为相关问题提供更多的论辩空间与专业信息;侵权责任法通过合理的损害赔偿,也可以威慑潜在的侵权者,从而保护社会群体。[90]在救济问题上,数字领域应协调配合,注重发挥公法与私法各自的比较优势;同时,也要注意避免对侵权方进行重复赔偿或惩罚。
五、结语:制定专门的数据保护立法
《意见》提出:“加强数据产权保护、数据要素市场制度建设、数据要素价格形成机制、数据要素收益分配、数据跨境传输、争议解决等理论研究和立法研究,推动完善相关法律制度。”这就对数字时代民法的发展与完善提出了新要求。为顺应高科技发展的要求,《民法典》第127条对数据和网络虚拟财产的保护作出了规定。《民法典》人格权编和侵权责任编的许多规则可以适用于对数据的保护,但毕竟缺乏特别针对数据法律保护的具体规则。从比较法来看,欧盟于2022年提出了《数据法》(Data Act)提案,并预计在2023年通过。[91]这一法案赋予了数据用户对于数据企业的访问权与利用权,进一步完善了欧盟的数据法律体系。这对我国民事立法不无借鉴意义。未来,我国有必要按照《意见》所作出的规划,通过专门的保护数据的立法,对数据权益提供全方位保护,既包括公法保护,也包括民法保护;在民法保护中,也应当综合侵权责任、人格权请求权、违约责任等多种方式,对数据权益提供全方位保护。目前,我国的数字技术与国外呈现大致同步发展的趋势,在部分领域,我国的数字场景甚至更为丰富。因此,我国民法应面向数字时代的内在需要,不断与时俱进、发展完善。
王利明,中国人民大学民商事法律研究中心研究员,法学博士;丁晓东,中国人民大学法学院教授,法学博士。